5 Nopietnas problēmas ar HTTPS un SSL drošību tīmeklī
HTTPS, kas izmanto SSL, nodrošina identitātes pārbaudi un drošību, tāpēc jūs zināt, ka esat savienots ar pareizo vietni un neviens nevar noklausīties. Tas ir teorija. Praksē SSL tīmeklī ir sava veida haoss.
Tas nenozīmē, ka HTTPS un SSL šifrēšana ir nevērtīga, jo tie noteikti ir daudz labāki, nekā izmantojot nešifrētus HTTP savienojumus. Pat sliktākajā gadījumā, kompromitēts HTTPS savienojums būs tikpat nedrošs kā HTTP savienojums.
Sertifikātu iestāžu skaits
Jūsu pārlūkprogrammā ir iebūvēts uzticamo sertifikātu iestāžu saraksts. Pārlūkprogrammas tikai uzticas sertifikātiem, ko izsniegušas šīs sertifikātu iestādes. Ja esat apmeklējis https://example.com, tīmekļa vietnes example.com web serveris jums iesniegs SSL sertifikātu, un jūsu pārlūkprogramma pārbaudīs, vai uzticama sertifikāta iestāde ir izdevusi vietnes SSL sertifikātu. Ja sertifikāts ir izsniegts citam domēnam vai ja to nav izdevusi uzticama sertifikāta iestāde, pārlūkprogrammā redzēsiet nopietnu brīdinājumu.
Viena no galvenajām problēmām ir tā, ka ir tik daudz sertifikātu iestāžu, tāpēc problēmas ar vienu sertifikāta iestādi var ietekmēt ikvienu. Piemēram, VeriSign var iegūt jūsu domēna SSL sertifikātu, bet kāds var kompromitēt vai triks citu sertifikātu iestādi un saņemt sertifikātu arī jūsu domēnam.
Sertifikātu iestādes ne vienmēr iedvesmoja uzticību
Pētījumi ir atklājuši, ka dažas sertifikātu iestādes, izdodot sertifikātus, nav veikušas pat minimālu rūpību. Viņi ir izsnieguši SSL sertifikātus tādu veidu adresēm, kurām nekad nevajadzētu pieprasīt sertifikātu, piemēram, “localhost”, kas vienmēr ir vietējais dators. 2011. gadā EZF konstatēja vairāk nekā 2000 “localhost” sertifikātu, ko izdevušas likumīgas, uzticamas sertifikātu iestādes.
Ja uzticamu sertifikātu iestādes ir izsniegušas tik daudz sertifikātu, nepārliecinoties, ka adreses ir pat derīgas, ir tikai dabiski brīnīties, kādas citas kļūdas tās ir veikušas. Iespējams, viņi uzbrucējiem ir izsnieguši arī neatļautu sertifikātu citu cilvēku tīmekļa vietnēm.
Paplašinātā apstiprinājuma sertifikāti vai EV sertifikāti mēģina atrisināt šo problēmu. Mēs esam noslēguši problēmas ar SSL sertifikātiem un to, kā EV sertifikāti mēģina tos atrisināt.
Sertifikātu iestādes var būt spiestas izsniegt viltotus sertifikātus
Tā kā ir tik daudz sertifikātu iestāžu, viņi visā pasaulē, un jebkura sertifikāta iestāde var izsniegt sertifikātu jebkurai tīmekļa vietnei, valdības var likt sertifikācijas iestādēm izsniegt SSL sertifikātu vietnei, kuru viņi vēlas radīt..
Tas, iespējams, notika nesen Francijā, kur Google atklāja google.com negodīgu sertifikātu, ko izdevusi Francijas sertifikātu iestāde ANSSI. Iestāde būtu atļāvusi Francijas valdībai vai jebkuram citam, kurš to bija aicinājis izrādīt Google vietni, viegli izpildot uzbrukumus vidū. ANSSI apgalvoja, ka sertifikāts tika izmantots tikai privātajā tīklā, lai uzlūkotu tīkla lietotājus, nevis Francijas valdība. Pat ja tas būtu taisnība, sertifikātu izsniegšanas gadījumā tas būtu ANSSI pašu politiku pārkāpums.
Perfect Forward Secrecy nav izmantota visur
Daudzas vietnes neizmanto „perfektu noslēpuma noslēpumu”, tehniku, kas padarītu šifrēšanu sarežģītāku. Bez pilnīgas noslēpuma noslēpuma uzbrucējs var iegūt lielu daudzumu šifrētu datu un visu to atšifrēt ar vienu slepeno atslēgu. Mēs zinām, ka NSA un citas valsts drošības aģentūras visā pasaulē iegūst šos datus. Ja viņi vēlāk atklāj tīmekļa vietnes izmantoto šifrēšanas atslēgu, viņi var to izmantot, lai atšifrētu visus šifrētos datus, ko tie ir apkopojuši starp šo vietni un visiem, kas ir saistīti ar to.
Perfekta noslēpuma aizsardzība palīdz aizsargāt pret to, radot unikālu atslēgu katrai sesijai. Citiem vārdiem sakot, katra sesija tiek šifrēta ar citu slepeno atslēgu, tāpēc tās nevar atslēgt ar vienu taustiņu. Tas neļauj kādam no šifrēt lielu daudzumu šifrētu datu uzreiz. Tā kā ļoti maz tīmekļa vietņu izmanto šo drošības līdzekli, ir lielāka iespēja, ka valsts drošības aģentūras nākotnē varēs atšifrēt visus šos datus.
Cilvēks vidējos uzbrukumos un unikoda rakstzīmes
Diemžēl ar SSL joprojām ir iespējami vidēji uzbrukumi. Teorētiski vajadzētu būt drošam, lai izveidotu savienojumu ar publisko Wi-Fi tīklu un piekļūtu bankas vietnei. Jūs zināt, ka savienojums ir drošs, jo tas pārsniedz HTTPS, un HTTPS savienojums arī palīdz jums pārliecināties, ka esat faktiski savienots ar banku.
Praksē var būt bīstami izveidot savienojumu ar bankas vietni publiskā Wi-Fi tīklā. Pastāv risinājumi, kuros var atrasties ļaunprātīgi tīkli, kas var izraisīt cilvēka vidū vērstus uzbrukumus cilvēkiem, kas ar to savienojas. Piemēram, Wi-Fi hotspot var pieslēgties bankai jūsu vārdā, nosūtot datus uz priekšu un atpakaļ un sēžot vidū. Tas var netraucēti novirzīt jūs uz HTTP lapu un izveidot savienojumu ar banku ar HTTPS jūsu vārdā.
Tā varētu izmantot arī “homogrāfu līdzīgu HTTPS adresi”. Šī ir adrese, kas izskatās identiska jūsu bankas ekrānam, bet faktiski izmanto īpašas Unicode rakstzīmes, tāpēc tā ir atšķirīga. Šis pēdējais un scariest veida uzbrukums ir pazīstams kā internacionalizēts domēna vārda homogrāfijas uzbrukums. Pārbaudiet Unicode rakstzīmju kopu un jūs atradīsiet rakstzīmes, kas būtībā ir identiskas 26 rakstzīmēm, kas izmantotas latīņu alfabētā. Varbūt jūs esat pievienojies pakalpojumā google.com, kas nav īsti, bet ir citas rakstzīmes.
Mēs to sīkāk izskatījām, kad mēs apskatījām briesmas, kas saistītas ar publiskā Wi-Fi tīklojuma izmantošanu.
Protams, lielāko daļu laika HTTPS darbojas labi. Maz ticams, ka, tiklīdz apmeklējat kafejnīcu un izveidosiet savienojumu ar savu Wi-Fi, tiksiet uzbrukums šādam gudram cilvēka vidū. Reālais jautājums ir tāds, ka HTTPS ir dažas nopietnas problēmas. Lielākā daļa cilvēku to uzticas un nezina par šīm problēmām, bet tā nekur nav perfekta.
Image Credit: Sarah Joy